Туристам надо избегать общественных USB-зарядных станций: они могут взломать ваш телефон и всё украсть

Туристам надо избегать общественных USB-зарядных станций: они могут взломать ваш телефон и всё украсть

Уже несколько лет смартфоны оснащаются встроенной функцией безопасности, призванной предотвратить несанкционированный доступ через USB-соединение. Операционные системы iOS и Android реализуют это посредством запроса подтверждения при подключении к USB-порту, прежде чем разрешить передачу данных. Однако, эта мера защиты от "USB-джекинга" - техники взлома, когда в зарядные устройства внедряется вредоносный код для кражи данных или получения доступа к устройству, - оказалась не столь эффективной, как предполагалось. Специалисты по кибербезопасности выявили в этой системе существенную уязвимость, которая относительно легко эксплуатируется.

Разработан новый метод взлома смартфонов через USB-подключение

Как сообщает Ars Technica, киберпреступники могут использовать инновационный метод, названный "взломом согласия", для получения несанкционированного доступа к смартфонам. Суть метода заключается в том, что злоумышленники модифицируют зарядную станцию таким образом, чтобы она представлялась как USB-клавиатура при подключении. Затем, используя протокол USB Power Delivery, инициируется "подмена ролей данных USB PD" для установления Bluetooth-соединения. Это позволяет спровоцировать появление всплывающего окна с запросом разрешения на передачу файлов и автоматическое подтверждение согласия, как при использовании Bluetooth-клавиатуры. Таким образом, хакеры могут обойти механизм защиты устройства, который изначально был разработан для предотвращения атак через периферийные USB-устройства. В худшем случае, злоумышленники получают полный доступ ко всем файлам и личным данным, хранящимся на смартфоне, что позволяет им захватывать аккаунты пользователя. Исследователи из Технологического университета Граца провели тестирование этого метода на устройствах различных производителей, включая Samsung, одного из лидеров рынка смартфонов наряду с Apple. Результаты показали, что все протестированные устройства позволяли передавать данные при разблокированном экране.

Отсутствие универсального решения для защиты

Несмотря на осведомленность производителей смартфонов об этой проблеме, надежная защита от кражи данных пока не реализована повсеместно. Только Apple и Google внедрили решение, требующее от пользователей ввода PIN-кода или пароля перед добавлением устройства в список доверенных источников для передачи данных. Другие производители пока не обеспечили достаточную защиту от подобных атак. Особую уязвимость представляют устройства с включенной отладкой по USB, так как этот режим позволяет злоумышленникам получить доступ к системе через Android Debug Bridge и устанавливать собственные приложения, запускать файлы и использовать расширенные права доступа.

Меры предосторожности для защиты от взлома

Самый простой способ защиты от атак через USB-зарядные станции - избегать использования общедоступных зарядных устройств и пользоваться только собственными. USB-зарядные станции в местах с высокой проходимостью, таких как аэропорты, представляют наибольшую опасность.